サブディレクトリで.htaccessのダイレクトアクセスが禁止されていかなった
https://example.com/.htaccess へブラウザでアクセスすると 403 Forbiddenとなり期待通り。
ところが、
https://example.com/sub/.htaccess へブラウザでアクセスすると .htaccessがダウンロードできてしまい中身が見えてしまう問題に出会う。
なぜなのか理由がわからず。
ドキュメントルート直下の .htaccess にはアクセスを禁止する記述を書いていない。よって、httpd.confなど上位でやっているのだろう。
そして、サブフォルダ sub/.htaccessに許可する記述も書いていない。なぜだ。
このままでは怖いため、ドキュメントルート直下の .htaccess先頭に下記を明示することにした。
<Files ~ "^\.ht">
Require all denied
</Files>

そうすると、下位階層でも 403になってくれた。
ちなみにダウンロードされるファイルは、Windowsではhtaccessに、Macでは Untitled.htaccessになった。ドットで始まるファイルはダウンロードできないようになっているのだろう。ブラウザの危機回避か。